macOS 10.13.2までのHigh SierraのApp Store設定がパスワード無しでロック解除される不具合が発見されています。詳細は以下から。
Mac Rumorsによると、2018年01月10日現在で最新のmacOSとなる「macOS 10.13.2 High Sierra」のシステム環境設定 → [App Store]に設定されているロックが、任意のパスワード無しで解除される不具合を米Meredith Corporationのシステム管理者として働いているEric Holtamさんが発見し、Open Radarに登録したそうです。
Summary:
The AppStore Preferences in System Preferences can be unlocked by a local admin with any bogus password.Steps to Reproduce:
- Log in as a local admin
- Open App Store Prefpane from the System Preferences
- Lock the padlock if it is already unlocked
- Click the lock to unlock it
- Enter any bogus password
Expected Results:
The authorization to fail.
Actual Results:
Authorization succeeds and grants access to change the AppStore preferences.rdar://36350507: AppStore Preferences lock is a lie – Open Radar
検証
Eric Holtamさんは「不安を煽るような記事(FUD:Fear, Uncertainty and Doubt)が出てしまっているが、この問題はMacに直接アクセス出来るシステム管理者でなければ利用できず、加えてApp Storeの設定以外では再現できなかったと」コメントしており、
システム管理者としてシステム環境設定アプリの[App Store]設定を開くと、デフォルトで設定変更の鍵がUnlockされているため、大きな問題にはならないと思われますが、macOS 10.13.2 Build 17C205では以上の通り、任意のパスワードで設定のUnlockが可能でした。
この不具合は現在開発者やPublic Betaユーザー向けに公開されている「macOS High Sierra 10.13.3 beta 4 Build 17D34a」では既に修正され、High Sierra以外のmacOS(macOS 10.12.6 Sierra Build 16G1114など)では再現できませんでした。
おまけ
ただし、High Sierraではユーザ名に「root」を利用することでパスワード無しに管理者としてMacにログインできる「#Iamroot」脆弱性が発見され、その後追加アップデートをリリースし、開発プロセスを見直すことを約束しましたが、
その他にもログイン画面でパスワードエリアにフォーカスされていない段階でパスワードを入力すると、ロック中のMacのアプリにパスワードが入力されてしまう不具合などが確認されているため、開発者や元AppleのエンジニアRyan Jonesさんなどからもリリースサイクルや、QA(Quality Assurance)部門を見直したほうがいいといったコメントが出ているそうです。
追記
”Any Password”でなく、“No Password”でも可能でした。コメント欄でのご指摘ありがとうございます。
コメント
動画でパスワード入れてますが、パスワード無しでも解除されますよね?